NGHIÊN CỨU GIAO THỨC ĐỊNH TUYẾN EIGRP
3. Các tính năng nâng cao của EIGRP
3.7. Cơ chế chứng thực của EIGRP
3.7.1. Tổng quan về cơ chế chứng thực của EIGRP
Với cơ chế này bạn có thể ngăn chặn router của mình nhận các gói tin định tuyến gian lận bằng việc cấu hình chứng thực router láng giềng. Mặc định việc chứng thực không được sử dụng cho các gói tin cập nhật giao thức định tuyến.
Khi việc chứng thực router láng giềng ( chứng thực định tuyến) được cấu hình, router sẽ tiến hành chứng thực nguồn gốc của gói tin cập nhật định tuyến mà nó nhận được, việc này được thực hiện bằng cách trao đổi một khóa chứng thực hoặc mật khẩu mà cả router gửi và router nhận đều biết.
Có 2 hình thức chứng thực :
• Chứng thực bằng mật khẩu đơn thuần ( xác thực bằng văn bản thô ): Hình thức chứng thực này được các giao thức sau đây hỗ trợ: IS-IS, OSPF, và RIPv2.
• Chứng thực bằng mã MD5 (Message Digest 5 - MD5 ). Chứng thực được giao thức RIPv2, OSPF, BGP và EIGRP hỗ trợ.
- Chứng thực bằng mật khẩu đơn thuần :
Cơ chế này sẽ gửi một khóa chứng thực trên đường truyền, khóa này được cấu hình trên một router và mỗi router láng giềng muốn tham gia cũng phải được cấu hình cùng khóa đó.
- Chứng thực bằng mã MD5 :
Cơ chế này sẽ gửi đi một thông điệp tóm tắt thay thế cho việc gửi đi khóa xác thực chính thức để tránh việc khóa chính có thể bị đọc trên đường truyền. MD5 là một mật mã chứng thực, trong đó một khóa và một chỉ số khóa ( key ID ) được cấu hình trên mỗi router. Dựa vào các gói tin giao thức định tuyến, khóa và chỉ số khóa bằng cách sử dụng một thuật toán router sẽ tạo ra một thông điệp tóm tắt còn gọi là hash và gắn nó vào gói tin. Việc sử dụng chứng thực bằng mã MD5 là biện pháp an ninh được đề nghị. Không nên sử dụng chứng thực bằng mật khẩu thông thường nó dễ bị tấn công lộ mật khẩu. Việc sử dụng chứng thực mật khẩu đơn giản là để tránh những thay đổi ngẫu nhiên của hạ tầng định tuyến.
3.7.2. Cơ chế chứng thực bằng mã MD5 của EIGRP.
a) Tổng quan.
Giao thức EIGRP có thể được cấu hình để sử dụng cơ chế chứng thực MD5.
Các khóa MD5 đã được tóm tắt trong mỗi gói tin EIGRP ngăn chặn việc quảng bá trái phép hoặc thông điệp định tuyến sai từ các nguồn trái phép. Đối với chứng thực MD5, chỉ số khóa và khóa chứng thực (còn gọi là mật khẩu) phải được cấu hình trên cả router gửi và nhận. Tương ứng với mỗi một chỉ số khóa là một khóa, khóa này được lưu tại router và được quản lý bởi những chuỗi khóa ( key chains). Sự kết hợp của chuỗi khóa và giao diện cổng xác định chỉ số và khóa được sử dụng. Ngoài ra, chỉ số khóa trong chuỗi khóa xác định khoảng thời gian mà khóa có tác dụng. Chỉ một gói tin chứng thực được gửi đi bất kể có bao
nhiêu khóa tồn tại. Phần mềm sẽ kiểm tra chỉ số khóa từ thấp nhất đến cao nhất và nó sẽ sử dụng giá trị đầu tiên hợp lệ.
Khóa không thể được sử dụng trong khoảng thời gian mà nó không được kích hoạt. Chính vì thế mà ta nên dùng chuỗi khóa, khi này các khóa sẽ được kích hoạt chồng chéo nhau trong cùng khoảng thời gian, đảm bảo không có khóa nào không được kích hoạt. Nếu khóa không được kích hoạt có thể làm cho Router láng giềng không thể chứng thực sẽ dẫn tới lỗi cập nhật định tuyến.
Trong cùng một khoảng thời gian tất cả các router có thể sử dụng một khóa giống nhau để thực hiện đồng bộ hóa.
b) Cấu hình chứng thực MD5 của EIGRP
Có 8 bước cấu hình chứng thực MD5 của giao thức EIGRP:
• Bước 1 : Vào chế độ cấu hình cho giao diện mà bạn muốn kích hoạt tính năng chứng thực.
• Bước 2 : Chỉ định chứng thực MD5 cho gói tin EIGRP sử dụng câu lệnh sau:
Router(config-if)# ip authentication mode eigrp autonomous-system md5
• Bước 3 : Kích hoạt tính năng chứng thực của các gói tin EIGRP với một khóa xác định trong chuỗi khóa bằng cách sử dụng lệnh :
Router(config-if)# ip authentication key-chain eigrp autonomous- system name-of-chain
• Bước 4 : Vào chế độ cấu hình cho chuỗi khóa bằng lệnh sau:
Router(config)#key chain name-of-chain
• Bước 5 : Xác định chỉ số khóa được sử dụng, vào chế độ cấu hình cho khóa này sử dụng câu lênh.
Router(config-keychain)#key key-id
• Bước 6 : Xác định mật khẩu cho khóa này sử dụng câu lệnh.
Router(config-keychain-key)#key string text
• Bước 7 : Tùy chọn, xác định khoảng thời gian trong đó khóa này được chấp nhận để sử dụng trên các gói dữ liệu nhận được bằng cách sử dụng câu lệnh.
Router(config-keychain-key)#accept-lifetime start-time {infinite | end- time | duration seconds}
• Bước 8: Tùy chọn, xác định khoảng thời gian trong đó các khóa này có thể được sử dụng để gửi gói tin bằng cách sử dụng câu lệnh.
Router(config-keychain-key)#send-lifetime start-time {infinite | end- time | duration seconds}
4. Cấu hình cơ bản và kiểm tra cấu hình EIGRP